Una reciente investigación de Proofpoint ha revelado que Royal Mail, el servicio de correo postal británico, ha sido utilizado como señuelo en una campaña de ransomware que distribuyó la variante “Prince”, disponible gratuitamente en GitHub y diseñada con fines educativos. Esta táctica de suplantación se enfocó en empresas de Reino Unido y Estados Unidos, afectando principalmente a un pequeño número de organizaciones.
En un giro innovador, los atacantes emplearon formularios de contacto de las propias páginas web de las empresas objetivo para enviar el malware, una técnica previamente vista en el grupo de ciberdelincuentes TA578. Estos formularios simulan contenido legítimo, como quejas, aumentando la probabilidad de éxito en las intrusiones. Según Proofpoint, “independientemente de si el mensaje proviene de un formulario de contacto o de un correo electrónico directo, si el remitente usa dominios gratuitos, se debería sospechar inmediatamente”.
Los mensajes de rescate del ransomware “Prince” solicitaban el pago de 0,007 Bitcoins (alrededor de 437 euros) para descifrar los archivos. Sin embargo, los investigadores han destacado una falla en esta campaña: el ataque carece de mecanismos para verificar qué víctimas han realizado el pago y no incluye instrucciones para contactar al atacante ni códigos específicos de cada dispositivo. Esta estructura sugiere que el ataque pudo estar diseñado únicamente para ser destructivo, sin posibilidad de recuperar los datos tras el pago del rescate.
Proofpoint indica que no puede atribuir esta campaña a un grupo específico de ciberdelincuentes, ya que el ransomware “Prince” es de código abierto y podría ser utilizado por diferentes actores. Su creador, conocido como SecDbg, asegura que con ciertas modificaciones, el malware puede evadir la detección de Windows Defender. Estas personalizaciones se ofrecen mediante contacto en Telegram previo pago.
La ausencia de cualquier mecanismo que permita a las víctimas recuperar sus archivos plantea una incógnita sobre las intenciones reales del ataque. Proofpoint concluye: “No está claro si fue un error del atacante o si el ataque fue concebido para ser únicamente destructivo”.
